Sdílet prostřednictvím


Požadavky na certifikáty infrastruktury veřejných klíčů (PKI) služby Azure Stack Hub

Azure Stack Hub má síť veřejné infrastruktury využívající externě přístupné veřejné IP adresy přiřazené malé sadě služeb Azure Stack Hub a případně virtuálním počítačům tenanta. Při nasazování služby Azure Stack Hub se vyžadují certifikáty PKI s příslušnými názvy DNS pro tyto koncové body veřejné infrastruktury služby Azure Stack Hub. Tento článek obsahuje informace o:

  • Požadavky na certifikáty pro službu Azure Stack Hub
  • Povinné certifikáty vyžadované pro nasazení služby Azure Stack Hub.
  • Volitelné certifikáty vyžadované při nasazování poskytovatelů prostředků s přidanou hodnotou.

Poznámka

Azure Stack Hub ve výchozím nastavení používá k ověřování mezi uzly také certifikáty vydané interní certifikační autoritou (CA) integrovanou službou Active Directory. Při ověřování certifikátu všechny počítače infrastruktury služby Azure Stack Hub důvěřují kořenovému certifikátu interní certifikační autority přidáním tohoto certifikátu do místního úložiště certifikátů. Ve službě Azure Stack Hub nedochází k připínání ani filtrování certifikátů. Síť SAN každého certifikátu serveru se ověří podle plně kvalifikovaného názvu domény cíle. Ověří se také celý řetězec důvěryhodnosti spolu s datem vypršení platnosti certifikátu (standardní ověřování serveru TLS bez připnutí certifikátu).

Požadavky na certifikáty

Následující seznam popisuje obecné požadavky na vystavování certifikátů, zabezpečení a formátování:

  • Certifikáty musí být vydané interní certifikační autoritou nebo veřejnou certifikační autoritou. Pokud se používá veřejná certifikační autorita, musí být součástí základní bitové kopie operačního systému jako součást programu Microsoft Trusted Root Authority Program. Úplný seznam najdete v tématu Seznam účastníků – Microsoft Trusted Root Program.
  • Infrastruktura služby Azure Stack Hub musí mít síťový přístup k umístění seznamu odvolaných certifikátů (CRL) certifikační autority publikovanému v certifikátu. Tento seznam odvolaných certifikátů musí být koncovým bodem HTTP. Poznámka: Pro odpojená nasazení se nepodporují certifikáty vydané veřejnou certifikační autoritou (CA), pokud koncový bod seznamu CRL není přístupný. Další podrobnosti najdete v tématu Funkce, které jsou v odpojených nasazeních poškozené nebo nedostupné.
  • Při obměně certifikátů v buildech před verzí 1903 musí být certifikáty vydány buď od stejné interní certifikační autority, která se používá k podepisování certifikátů poskytovaných při nasazení, nebo jakékoli veřejné certifikační autority shora.
  • Při obměně certifikátů pro sestavení 1903 a novější může certifikáty vydávat libovolná podniková nebo veřejná certifikační autorita.
  • Použití certifikátů podepsaných svým držitelem se nepodporuje.
  • K nasazení a obměně můžete použít jeden certifikát pokrývající všechny názvové prostory v názvu subjektu certifikátu a alternativním názvu subjektu (SAN). Alternativně můžete pro každý obor názvů níže použít jednotlivé certifikáty, které služby Azure Stack Hub, které plánujete využívat, vyžadují. Oba přístupy vyžadují použití zástupných znaků pro koncové body, kde jsou potřeba, jako jsou KeyVault a KeyVaultInternal.
  • Algoritmus podpisu certifikátu by neměl být SHA1.
  • Certifikát musí mít formát PFX, protože pro instalaci služby Azure Stack Hub se vyžaduje veřejný i privátní klíč. Privátní klíč musí mít nastavený atribut klíče místního počítače.
  • Šifrování PFX musí být 3DES (toto šifrování je výchozí při exportu z klienta Windows 10 nebo Windows Server 2016 úložiště certifikátů).
  • Soubory pfx certifikátu musí mít v poli Použití klíče hodnotu Digitální podpis a KeyEncipherment.
  • Soubory pfx certifikátu musí mít v poli Rozšířené použití klíče hodnoty Ověření serveru (1.3.6.1.5.5.7.3.1)" a "Ověření klienta (1.3.6.1.5.5.7.3.2)".
  • Pole Vystaveno certifikátu nesmí být stejné jako pole Vystavit:
  • Hesla ke všem souborům pfx certifikátu musí být v době nasazení stejná.
  • Heslo k certifikátu pfx musí být složité heslo. Poznamenejte si toto heslo, protože ho použijete jako parametr nasazení. Heslo musí splňovat následující požadavky na složitost hesla:
    • Minimální délka je osm znaků.
    • Aspoň tři z následujících znaků: velké písmeno, malá písmena, čísla od 0 do 9, speciální znaky, abecední znak, který není velkými ani malými písmeny.
  • Zajistěte, aby se názvy subjektů a alternativní názvy subjektů v příponě alternativního názvu subjektu (x509v3_config) shodovaly. Pole alternativního názvu subjektu umožňuje zadat další názvy hostitelů (weby, IP adresy, běžné názvy), které budou chráněny jedním certifikátem SSL.

Poznámka

Certifikáty podepsané svým držitelem se nepodporují.
Při nasazování služby Azure Stack Hub v odpojené režimu se doporučuje používat certifikáty vystavené podnikovou certifikační autoritou. To je důležité, protože klienti, kteří přistupují ke koncovým bodům služby Azure Stack Hub, musí být schopni kontaktovat seznam odvolaných certifikátů (CRL).

Poznámka

Přítomnost zprostředkující certifikační autority v řetězu vztahů důvěryhodnosti certifikátu je podporovaná .

Povinné certifikáty

Tabulka v této části popisuje certifikáty PKI veřejného koncového bodu služby Azure Stack Hub, které se vyžadují pro Microsoft Entra ID i pro nasazení služby AD FS Azure Stack Hub. Požadavky na certifikát jsou seskupené podle oblasti a použitých oborů názvů a certifikátů, které jsou pro každý obor názvů vyžadovány. Tabulka také popisuje složku, do které poskytovatel řešení kopíruje různé certifikáty pro veřejný koncový bod.

Vyžadují se certifikáty s příslušnými názvy DNS pro každý koncový bod veřejné infrastruktury služby Azure Stack Hub. Název DNS každého koncového bodu se vyjadřuje ve formátu:< předpona>.<oblast>.<plně kvalifikovaný název domény>.

Pro vaše nasazení <se hodnoty oblasti> a <plně kvalifikovaného názvu domény> musí shodovat s názvy oblastí a externích domén, které jste zvolili pro svůj systém Azure Stack Hub. Pokud je například oblast Redmond a název externí domény je contoso.com, názvy DNS budou mít <formát prefix.redmond.contoso.com>. Hodnoty <předpon> jsou předem navržené Microsoftem, aby popisovaly koncový bod zabezpečený certifikátem. Hodnoty <předpon> externích koncových bodů infrastruktury navíc závisí na službě Azure Stack Hub, která používá konkrétní koncový bod.

Pro produkční prostředí doporučujeme vygenerovat jednotlivé certifikáty pro každý koncový bod a zkopírovat je do odpovídajícího adresáře. Pro vývojová prostředí je možné certifikáty poskytnout jako jeden certifikát se zástupným znakem pokrývající všechny obory názvů v polích Předmět a Alternativní název subjektu (SAN) zkopírované do všech adresářů. Jeden certifikát, který pokrývá všechny koncové body a služby, je nezabezpečený stav, a proto je jen pro vývoj. Nezapomeňte, že obě možnosti vyžadují použití zástupných certifikátů pro koncové body, jako je acs a Key Vault tam, kde se vyžadují.

Poznámka

Během nasazování musíte zkopírovat certifikáty do složky nasazení, která odpovídá zprostředkovateli identity, se kterým nasazujete (Microsoft Entra ID nebo AD FS). Pokud používáte jeden certifikát pro všechny koncové body, musíte tento soubor certifikátu zkopírovat do každé složky nasazení, jak je popsáno v následujících tabulkách. Struktura složek je předem vytvořená ve virtuálním počítači nasazení a najdete ji tady: C:\CloudDeployment\Setup\Certificates.

Složka nasazení Požadovaný subjekt certifikátu a alternativní názvy subjektů (SAN) Obor (podle oblasti) Obor názvů subdomény
Veřejný portál Portál.<oblast>.<Fqdn> Portály <oblast>.<Fqdn>
Portál pro správu adminportal.<oblast>.<Fqdn> Portály <oblast>.<Fqdn>
Azure Resource Manager Public Správa.<oblast>.<Fqdn> Azure Resource Manager <oblast>.<Fqdn>
Azure Resource Manager Správa adminmanagement.<oblast>.<Fqdn> Azure Resource Manager <oblast>.<Fqdn>
ACSBlob *.Blob.<oblast>.<Fqdn>
(Zástupný certifikát SSL)
Blob Storage Blob.<oblast>.<Fqdn>
Tabulka ACS *.Tabulka.<oblast>.<Fqdn>
(Zástupný certifikát SSL)
Table Storage Tabulka.<oblast>.<Fqdn>
ACSQueue *.Fronty.<oblast>.<Fqdn>
(Zástupný certifikát SSL)
Queue Storage Fronty.<oblast>.<Fqdn>
KeyVault *.Trezoru.<oblast>.<Fqdn>
(Zástupný certifikát SSL)
Key Vault Trezoru.<oblast>.<Fqdn>
KeyVaultInternal *.adminvault.<oblast>.<Fqdn>
(Zástupný certifikát SSL)
Interní trezor klíčů adminvault.<oblast>.<Fqdn>
Hostitel rozšíření Správa *.adminhosting.<oblast>.<fqdn> (zástupné certifikáty SSL) Hostitel rozšíření Správa adminhosting.<oblast>.<Fqdn>
Veřejný hostitel rozšíření *.Hosting.<oblast>.<fqdn> (zástupné certifikáty SSL) Veřejný hostitel rozšíření Hosting.<oblast>.<Fqdn>

Pokud nasadíte službu Azure Stack Hub pomocí režimu nasazení Microsoft Entra, stačí si vyžádat pouze certifikáty uvedené v předchozí tabulce. Pokud ale azure Stack Hub nasadíte pomocí režimu nasazení služby AD FS, musíte si také vyžádat certifikáty popsané v následující tabulce:

Složka nasazení Požadovaný subjekt certifikátu a alternativní názvy subjektů (SAN) Obor (podle oblasti) Obor názvů subdomény
ADFS Adfs. <oblast>.<Fqdn>
(Certifikát SSL)
ADFS <oblast>.<Fqdn>
Graph Grafu. <oblast>.<Fqdn>
(Certifikát SSL)
Graph <oblast>.<Fqdn>

Důležité

Všechny certifikáty uvedené v této části musí mít stejné heslo.

Volitelné certifikáty PaaS

Pokud plánujete nasadit služby Azure Stack Hub PaaS (jako jsou SQL, MySQL, App Service nebo Event Hubs) po nasazení a konfiguraci služby Azure Stack Hub, musíte si vyžádat další certifikáty pro pokrytí koncových bodů služeb PaaS.

Důležité

Certifikáty, které používáte pro poskytovatele prostředků, musí mít stejnou kořenovou autoritu jako certifikáty používané pro globální koncové body služby Azure Stack Hub.

Následující tabulka popisuje koncové body a certifikáty požadované pro poskytovatele prostředků. Tyto certifikáty nemusíte kopírovat do složky nasazení služby Azure Stack Hub. Místo toho tyto certifikáty zadáte během instalace poskytovatele prostředků.

Obor (podle oblasti) Certifikát Požadované předměty certifikátu a alternativní názvy subjektů (SAN) Obor názvů subdomény
App Service Výchozí certifikát SSL webového provozu *.appservice. <oblast>.<Fqdn>
*.scm.appservice. <oblast>.<Fqdn>
*.sso.appservice. <oblast>.<Fqdn>
(Zástupný certifikát SSL pro více domén1)
appservice. <oblast>.<Fqdn>
scm.appservice. <oblast>.<Fqdn>
App Service rozhraní API api.appservice. <oblast>.<Fqdn>
(Certifikát SSL2)
appservice. <oblast>.<Fqdn>
scm.appservice. <oblast>.<Fqdn>
App Service FTP ftp.appservice. <oblast>.<Fqdn>
(Certifikát SSL2)
appservice. <oblast>.<Fqdn>
scm.appservice. <oblast>.<Fqdn>
App Service Jednotné přihlašování sso.appservice. <oblast>.<Fqdn>
(Certifikát SSL2)
appservice. <oblast>.<Fqdn>
scm.appservice. <oblast>.<Fqdn>
Event Hubs SSL *.eventhub. <oblast>.<Fqdn>
(Zástupný certifikát SSL)
eventhub. <oblast>.<Fqdn>
SQL, MySQL SQL a MySQL *.dbadapter. <oblast>.<Fqdn>
(Zástupný certifikát SSL)
dbadapter. <oblast>.<Fqdn>

1 Vyžaduje jeden certifikát s několika alternativními názvy podmětů se zástupnými znakůýmimi sadou. U jednoho certifikátu nemusí být podporováno více sítí SAN se zástupnými ýmimi sadou.

2 A *.appservice. <oblast>.<Místo těchto tří certifikátů není možné použít zástupný certifikát fqdn> (api.appservice).<oblast>.<fqdn>, ftp.appservice. <oblast>.<fqdn> a sso.appservice. <oblast>.<plně kvalifikovaný název domény>. AppService explicitně vyžaduje použití samostatných certifikátů pro tyto koncové body.

Další kroky

Zjistěte, jak generovat certifikáty PKI pro nasazení služby Azure Stack Hub.